fbpx
  1. ホーム /
  2. セキュリティ /
  3. 【徹底解説】シングルサインオンのための必須ガイド
投稿日: ・ 最終更新日:2020/05/31

【徹底解説】シングルサインオンのための必須ガイド

最近はアプリが大活躍しています。アプリのおかげで、机やコンピュータに縛られることなく、必要な情報を簡単に入手したり、仕事をしたり、つながりを維持したりすることができます。ウェブベースのアプリがローカルでホストされているソフトウェアに完全に取って代わるかどうかはまだ議論されていますが、一つ確かなことは、アプリはここに留まるということです。

平均的な企業では、すでに 200 以上のアプリが使用されていると推定されています。例えば、さまざまなログイン認証情報の管理などです。「覚えておくべきユーザー名とパスワードがもっとあればいいのに」と思う人はいないでしょう。そうしなくてはならないのを避けるために、あまりにも多くのユーザーが危険なパスワードを使っています。

その一方で、重要なデータやリソースを守るために、同じような薄っぺらいパスワードに頼っているのです。人気のある童話「三匹の子ブタ」を引用すると、パスワードだけに頼るのは藁の家を建てるようなものです。特に、大きな悪いオオカミがあなたの家を吹き飛ばそうと待ち構えているときには、それは不安定な立場にあります。

完璧な例えではないかもしれません。しかし、それはあなたをトリップさせないでください。ポイントはこうです。アプリにアクセスするために、複数の異なるユーザー名とパスワードの組み合わせを作成しなければならないという立場にユーザーを置いているのであれば、企業全体を不必要なリスクにさらしていることになります。

シングルサインオン (SSO) には、より良い、より安全なアプローチがあります。SSO は、企業が必要とするセキュリティに加えて、ユーザーが好む合理化されたログインとアクセスを提供します。

続きを読むことで、以下のようなSSOについて知っておくべきことをすべて学ぶことができます。

  • パスワードを超えて移動するさらに多くの理由
  • SSOを実装することで、お客様とユーザーにメリットがある理由
  • ベーシックSSOとフェデレーションSSOの決定的な違い
  • クラウドやモバイルアプリへのアクセスを確保する方法

第1章:パスワードについての意外と知られていない事実

パスワードにセキュリティハットをかけることの危険性は、ほとんどニュースになっていません。今では、誰もがパスワードを選ぶときに何をしてはいけないかをよく知っています。しかし、盗難されたクレデンシャルは、いまだにデータ侵害につながる行為のリストのトップを占めています。

悲しいことに、パスワードの習慣は改善されていません。ある意味では、悪化の一途をたどっています。従業員は平均6つのパスワードを同僚と共有していると推定され、1年前に比べて50%増加しています。

ID 窃盗が非常に現実的な脅威となっている時代に、これらのパスワードの使用方法には驚かされます。さらに混乱を招くのは、パスワードを再利用している人のほぼ同数が、ベストプラクティスを理解していると主張していることです(正確には72%)。

しかし、ウェブやモバイル・アプリケーションの爆発的な成長を考えると、ユーザーがパスワード疲労に悩まされるのは当然のことでしょうか?

典型的な従業員は 191 個のパスワードを管理しなければなりません。高く感じるかもしれませんが、平均的な企業では200のアプリケーションが使用されていることを覚えておいてください。

現実には、よく知っている人でも、必ずしもうまくいくとは限りません。特に、疲れ果ててもっと簡単な方法を探している場合はなおさらです。あなたのユーザーのパスワード管理は、数百とは言わないまでも数十のログイン認証情報を管理した結果である可能性が高い。彼らは、単に少しでも楽になりたいと思っているだけなのです。シングルサインオン(SSO)で彼らにそれを与えることができます。

第2章: シングルサインオンのメリット

シングルサインオンでは、アカウントごとに個別のパスワードを必要とせず、単一の企業認証情報セットに置き換えることができます。ユーザーは、1つの認証情報セットでサインオンして、すべてのアプリケーションとサービスにアクセスすることができます。

これとは対照的に、SSO を使用してリソースにアクセスできない場合は、複数回サインオンする必要があるだけでなく、各アプリのサインオン認証情報を作成する必要があります。このように多くのパスワードをユーザーに管理・記憶させることは、企業に明らかなセキュリティリスクをもたらします。

一部の企業では、パスワードの保管庫やパスワードの再生などの技術を利用して、これらのリスクを最小限に抑えています。パスワード保管庫は、ユーザーのパスワードをディレクトリまたはパスワード保管庫に保管します。パスワード再生は、パスワード保管庫からそれらのパスワードを取得し、ウェブアプリケーションに再生します。

これらの対策は迅速な解決策になるかもしれませんが、脆弱性もあります。パスワードの保管庫は、すべてのパスワードを危険にさらします。たとえ金庫が暗号化されていたとしても、金庫が危殆化してしまえば、あなたのパスワードは公開されてしまいます。一方、パスワードの再利用は、パスワードを再利用するという危険な行為を可能にし、パスワードの再利用攻撃のリスクにさらされます。また、手動でパスワードをリセットする際には、アプリケーション間で同期を取る必要がありますが、これは問題があり、維持するのにもコストがかかります。

連携型シングルサインオンには、より安全なソリューションがあります。連携型SSOは、リスクを最小限に抑えるだけでなく、企業に5つの大きなメリットをもたらします。

1. より強固なセキュリティ

SSOは、ユーザーが管理しなければならないパスワードの数を減らすことで、企業のセキュリティを強化します。これにより、パスワード攻撃のベクトルが縮小され、データ漏洩の可能性がさらに低くなります。2018年のデータ侵害の平均コストが386万ドルであったことを考えると、SSOを実装することは重要な保護手段となります。あなたの企業は、ブランドの評判と収益を守ることができます。

2. ITコストの削減

シングルサインオンにより、パスワードの数が減ります。これは、パスワードのリセットのためのヘルプデスクへの電話が減ることを意味します。ヘルプデスクへの電話の削減は些細なことのように聞こえるかもしれませんが、米国を拠点とする異業種の大企業が、パスワード関連のサポートコストだけで毎年100万ドル以上を確保していることを考えてみてください。

3. より安全な携帯電話の採用

シングルサインオンにより、どのデバイスからでもアプリに安全にアクセスできます。歴史的に、認証情報はデバイスに直接保存されていました。デバイスが盗まれた場合、ユーザーの認証情報も同様でした。しかし、標準的な暗号化されたトークンを使用してユーザの認証ステータスと ID 属性を共有し、アプリケーションへのアクセスを容易にするフェデレーテッド SSO では、クレデンシャルはもはやデバイスに保存されません。これにより、より強固なセキュリティ態勢が構築され、モバイルの導入が促進されます。

4. 生産性の向上

ビジネスアプリへのモバイルアクセスを提供することで、従業員の生産性が向上することは周知の事実です。デバイスを問わず、どこからでもユーザーのアクセスを合理化して安全にすることで、SSO の導入は生産性を大幅に向上させることができます。数値的な観点から考えてみると、20,000 人の従業員が 1 日平均 5 つのアプリケーションにログインしている大規模なグローバル企業を考えてみましょう。各従業員が 1 回のログインにつき 10 秒の割合で毎日 5 つのアプリケーションにログインしているとすると、会社は年間 72,000 時間以上の生産性を失っていることになります。あと72,000時間あれば、あなたの組織は何ができるか考えてみてください。

5.より良いユーザー体験

ユーザーのアプリへのワンクリックアクセスを提供することで、SSOは、アプリケーション間で重複したサインオンを行う必要がなくなり、複数のパスワードを管理する際のイライラも解消されます。PwCの調査では、消費者の43%が利便性を高めるために、より多くのお金を払うことがわかっています11 。摩擦のないサインオン体験は、顧客に利便性を高め、従業員やパートナーに同じ素晴らしい体験を提供するための1つの方法です。

第3章: シングルサインオンがユーザーにどのようなメリットをもたらすか

SSO のメリットは企業だけではありません。シングルサインオンは、従業員、顧客、パートナーを問わず、すべてのユーザーにアクセシビリティとエクスペリエンスの大幅な向上をもたらします。企業がすべてにまたがる SSO を備えた認証権限を持つと、あらゆるユーザーをあらゆるアプリケーションにシームレスに接続し、管理上のオーバーヘッドを削減することができます。

従業員

従業員にとってはシングルサインオンにより、より便利な企業アクセスが可能になります。これにより、従業員の生産性が向上します。複数回のサインオンやパスワードのリセットが不要になることで時間が短縮され、数百万ドルの節約にもつながります。

顧客

顧客は流動的なユーザーエクスペリエンスを求めています。SSO は、社内およびサードパーティのアプリやリソースへのアクセスを合理化することで、それを実現します。これにより、アプリの採用率、エンゲージメント、ロイヤルティが向上します。

パートナー

今日のグローバル経済において、パートナーのアクセスは非常に重要です。シングルサインオンを使用すると、パートナーに機密データへの安全なアクセスを許可することができ、パートナー自身のユーザーの管理と認証を簡単に行うことができます。

第4章: シングルサインオンの仕組み

オンプレミス、クラウド、および SaaS アプリケーションの普及により、企業は、サードパーティが所有するリソースやファイアウォールの外にあるリソースであっても、信頼できるアプリケーションや「サービスプロバイダ」のグループに安全なシングルサインオンを提供する必要性が高まっています。フェデレーションされたシングルサインオンは、このニーズを解決します。

フェデレーションとは、文字通り「一緒に同盟を結んだ」または「同盟を結んだ」という意味です。サインオンおよび ID セキュリティに関連するフェデレーションの概念は、一般的に、ユーザが一度だけ認証(すなわち、自分が誰であるかを証明する)を行い、その認証されたセッションを使用して、そのアプリケーションがどこにあるかに関係なく、使用を許可されているすべてのアプリケーションにアクセスすることができる能力を意味します。組織が進化し、より多くのユーザーが必要なアプリケーションに安全にアクセスできるようになると、すべてのアプリケーションにSSOを提供する単一の認証機関が不可欠になります。

統合SSOは、ドメインをまたいでもユーザー情報を安全に交換することで、アプリケーションやシステムへの認証済みアクセスを可能にします。そのためには、組織とアプリケーション・ベンダーやパートナーなどの外部サード・パーティとの間で、標準プロトコルを介した信頼関係を確立する必要があります。

SAML、OAuth、OpenID Connect、SCIM などの ID 標準を使用することで、フェデレートされた SSO は、ユーザーのアクセスとプロビジョニング情報の安全な伝送を可能にします。これは、ユーザー名やパスワードを保存して転送する代わりに、署名されたアサーションやトークンを使用することで実現します。この方法は、Web アプリケーションやモバイルアプリケーション、およびそれらをサポートする API を保護します。

複数のタイプの ID を効果的に接続するために、今日の大企業は ID フェデレーションハブを導入しており、これはすべてのユーザー ID を 1 か所で接続するためのブリッジとして機能する。

統合されたSSOの仕組み

まず、組織(ID プロバイダまたは IdP として知られている)は、集中認証サーバを実装する必要があります。このサーバーは、1) ユーザーの ID を検証し、2) ユーザーの ID と権限を確認する暗号化されたデータ・ビットであるアクセストークンを発行するために、すべてのアプリで使用されます。

最初のサインオン時に、ユーザーのユーザー名とパスワードは、検証のために ID プロバイダに送られます。認証サーバは、ユーザ・データが格納されているディレクトリに対してクレデンシャルをチェックする。認証情報がチェックアウトされると、IdP はユーザのブラウザ上で SSO セッションを開始します。

SSO セッションがアクティブになると、ユーザは企業のドックのような信頼されたグループ内のアプリケーショ ンにアクセスできます。ユーザがアプリケーションへのアクセスを要求するたびに、サービスプロバイダは IdP にユーザの身元を認証するための要求を送信します。IdP はアクセストークンを提供し、サービスプロバイダはアクセスを許可します。

既存環境へのSSOの統合

連携SSOのメリットを享受するには、IAMソリューションがID標準をサポートしている必要があります。ID 標準を使用することで、アプリケーションや情報を共有する際の複数の組織間の統合作業が軽減されます。また、アプリケーションから情報にアクセスしているあらゆるデバイス、ブラウザ、またはクライアントにセキュリティをもたらします。以下に、知っておく必要がある4つのID標準を紹介します。

SAML

セキュリティ・アサーション・マークアップ・ランゲージ(SAML)は、ID プロバイダとサービス・プロバイダの間でデータの認証と認可を交換するためのオープンな XML 標準です。SAML を使用すると、企業はドメイン(別名フェデレーション)間で ID 情報を安全に共有することができます。

OpenID Connect (OIDC)

OpenID Connect (OIDC) は OAuth 2.0 にアイデンティティ層を追加し、既存のフェデレーション仕様を簡素化します。これは、アイデンティティのフェデレーションと委任された認証を可能にし、動的な相互運用性を強化する他の機能とメカニズムを含んでいます。

SCIM

SCIM)は、REST や JSON などの最新のプロトコルを使用して複雑さを軽減し、ユーザー管理へのより分かりやすいアプローチを提供します。SCIMを採用することで、アイデンティティデータストア間の通信をより簡単に、より強力に、そして標準化することができます。

OAuth 2.0

APIへのアクセスを可能にするための業界をリードする標準規格であるOAuth 2.0は、アプリケーションがユーザーのパスワードを要求することなく、ユーザーに代わってリソースに安全にアクセスすることを可能にする標準的なフレームワークを提供します。このオープンな認証により、ユーザーはアプリケーションがどのようなアクセスや情報を要求しているのかを理解し、同意を得ることができます。

第5章:クラウドとモバイルのためのSSO

クラウドベースの環境

Amazon Web Services(AWS)、Microsoft Azure、Google Cloudは、いつでもどこでも、どんな規模でも柔軟に利用できることから、人気の高いクラウド環境です。しかし、クラウドではセキュリティリスクが大きくなります。Federated SSOを使用すると、IDフェデレーションとシングルサインオンをクラウド環境とオンプレミスアプリケーションの両方に統合して、ハイブリッドIT環境のセキュリティ、可視性、制御を一元化することができます。

フェデレーションとフェデレーションされたSSOは、IDセキュリティの4つのAsとして知られているものを提供します。

  1. 認証
  2. 認可
  3. アカウント管理
  4. 監査

クラウドベースの環境では、アプリケーションはユーザーのアイデンティティを認証し、そのユーザーが何をすることを許可されているかを理解し、アカウントを作成または更新し、ユーザーの活動を監査することができなければなりません。4 つの要素は、ID セキュリティ戦略の重要な構成要素であり、企業の境界を超えた移植性と拡張性を提供するため、統合型 SSO はクラウドベースの環境のセキュリティに不可欠です。

モバイルアプリケーション

SSOソリューションは従来、ウェブアプリケーションへのアクセスを提供することに限定されていました。アプリケーションプロバイダがシステムブラウザの使用を選択し、ユーザーエクスペリエンスを犠牲にしない限り、モバイルアプリケーションのシングルサインオンは難しい見通しでした。

今日では、モバイル SSO により、ユーザーはモバイルデバイス上の安全な SSO アプリケーションに一度サインオンし、企業のすべてのアプリケーションに瞬時にアクセスできるようになりました。また、デバイス自体に資格情報が保存されているという問題も解決します。SSO とモバイルベースの認証では、認証と認可は、標準ベースの署名付きアサーションまたはトークンを使用して行われます。

第6章: SSOによろしく

パスワードがかつてのようなセキュリティを提供していないことは周知の事実です。そして、今日のハイパーコネクテッドな世界では、これまで以上に多くの資産や情報を保護する必要があります。

また、より多くのデバイスでより多くのユーザーにアクセスできるようにする必要があります。煩雑なログイン要件に満足することなく、SaaSモバイルクラウド、企業向けアプリケーションのすべてにワンクリックでアクセスすることが求められています。シングルサインオンは、従業員、顧客、パートナーが期待する合理化されたエクスペリエンスを提供しながら、必要な強固なセキュリティを提供します。

SNSでもご購読できます。